嵌入式和导航式企业合规数字化设计
编辑导语:近年来,国家对于企业合规的管控越来越严格,各大企业对于企业合规都十分重视,本篇文章作者分享了有关于嵌入式和导航式企业合规数字化设计的内容,从多个方面讲述了其中的设计思路和方法,希望对你有帮助。
2018年是中国企业的合规元年,国务院国资委印发《中央企业合规管理指引(试行)》,2021年10月国务院国资委印发《关于进一步深化法治央企建设的意见》。
2021年12月国务院国资委召开中央企业“合规管理强化年”工作部署会,力争通过一年时间推动企业合规管理工作再上新台阶。
一、为何企业当前对合规如此重视
主要是一下几方面的原因:
- 要求多 。法律法规对合规监控的领域不断拓宽,从1990年的美国联邦量刑指南,到如今反腐败、反垄断、反洗钱、反不当竞争、知识产权、安全保护、数据保护等诸多领域;
- 罚得很 。国内外的执法力度持续增大,如Facebook违反GDPR被罚2.25亿欧元,谷歌不正当竞争被罚14.9亿欧元,国内阿里巴巴因垄断被处罚182.28亿元人民币,美团因垄断被处罚34.42亿元人民币等;
- 有好处 。适应市场竞争赢得投资者青睐合作伙伴的信赖,并且最高人民检察院、司法部、财政部等关于印发《关于建立涉案企业合规第三方监督评估机制的指导意见(试行)》的通知,在依法推进企业合规改革试点工作中建立健全涉案企业合规第三方监督评估机制。
二、企业合规是什么
北京大学陈瑞华教授的解释比较全面深入,他认为企业合规(compliance ),从字面上看就是合乎法律规定的意思。
这里的法律规定大体上不外乎四大类:
- 第一,国家法律法规,包括法律、行政法规、行政规章、地方性法规、司法解释等,所有具有法律渊源资格的规范文件都是需要遵守的对象。
- 第二,商业惯例,既包括成文规范,如各行业协会颁布的行为准则等,也包括不成文的商业习惯和伦理。
- 第三,公司内部制定的规章制度,违反自定的规章制度同样会成为企业受到制裁的理由。
- 第四,国际组织条约,如世界银行等国际组织,也设置了合规管理和制裁体系。所谓企业合规,是企业为有效防范、识别、应对可能发生的合规风险所建立的一整套公司治理体系。
三、企业合规管什么
有效的合规管理有助于企业应对不确定性、风险和机会,有助于保护和增加股东价值,降低未预期损失和声誉损失的可能性。
合规管理的主要内容包括: 合规管理制度建设、合规咨询、合规审查、合规检查、合规监测、法律法规追踪、合规报告、反洗钱、投诉举报处理、监管配合、信息隔离墙(监视清单与限制清单)、合规文化建设、合规信息系统建设、合规考核、合规问责等。
1. 合规管理的重点领域、环节、岗位
合规管理重点领域: 市场交易、安全环保、产品质量、劳动用工、财务税收、知识产权、商业伙伴等,主要是还是企业对外部规则遵守和承诺。
合规管理重点环节: 确保企业制度及其制定符合法律法规、监管规定等要求;严格落实“三重一大”决策制度,细化各层级决策事项和权限,保障决策依法合规;严格执行合规制度,加强对重点流程的监督检查,确保生产经营过程中照章办事、按章操作;
合规管理重点岗位: 管理人员要重视、重要风险岗位人员要专业、海外人员确保遵守我国和所在国法律法规等相关规定。
四、大合规还是专项合规
大合规是指风险、内控、合规管理三体合一后的大体系,三者交叠但不可替代整合实施难度比较大,且不同行业不同发展解决对合规的要求也不同。
经过几年的实践下来,大部分企业不再搞大合规。
一些学者教授研究全球合规管理优秀的公司,如西门子、当前的中兴等,发现他们也是主要集中在几个企业重点涉及的领域搞专项合规,成效很不错。
个人认为,企业都有通用合规要求,如劳动用工等,而且根据输出的行业发展阶段不同也有本企业需要重点关注点专项合规领域。
做到有效的合规管理,应该根据自身的特点,制定通用+专项(3-5个)的合规管理体系,做到合规的有效性。
五、建设企业数字化合规平台
常规的数字化平台建设,主要包括:制度制定、风险识别、合规审查、风险应对、责任追究、考核评价、合规培训等。
大家普遍反映过于形式化,并不能将合规要求落实到企业经营管理当中。
目前大家比较认同的方式,通过大数据和技术手段建立企业合规规则库,通过数据对比发现不合规监控不合规时间,分析并改进,保障业务持续健康经营。
1. 设计思路
PDCA,Plan(计划)、Do(执行)、Check(检查)和Act(处理),PDCA循环就是按照这样的顺序进行质量管理,并且循环不止地进行下去的科学程序。
合规管理同样适合这样的思路,来建设“嵌入式”合规、“导航式”合规。
嵌入式合规是站在制度要求与经营生产融合的角度提出,导航式合规是站在赋能企业成员的角度提出。
- P计划 ,对规章制度、改革方案等重要文件的合规审查,确保符合法律法规、监管规定等要求。
- D执行 ,严格执行合规制度,确保生产经营过程中照章办事、按章操作。
- C检查 ,加强对重点流程的监督检查,分清哪些对了,哪些错了,明确效果,找出问题。
- A改进 ,对总结检查的结果进行处理,对成功的经验加以肯定,并予以标准化;对于失败的教训也要总结,引起重视。对于没有解决的问题,应提交给下一个PDCA循环中去解决。
以上四个过程不是运行一次就结束,而是周而复始的进行,一个循环完了,解决一些问题,未解决的问题进入下一个循环,这样阶梯式上升的。
2. 实现路径
首先,要建立企业合规中的“规”则库 。
建立规则库要大梁立柱,按照本企业的业务建立通用和专项(反垄断、反不正当竞争、数据保护等)的规则分类。
按照国家法律法规、商业惯例、公司内部制定的规章制度等进行分级,并抽取其中禁止、义务、指导、提示类精确条款。
利用NLP技术对其进行适用主体、岗位、事项、动作、罚则等要素抽取,实现与内部范本类、风险类、案例类文本进行关联,形成要求——行动——风险——案例——持续优化的知识图谱和闭环管理。
针对重点且需要精确匹配的规则有人工进行校对,这样就能够将知识分解到5k-x方式应用,即知道什么事项、什么时间、什么情形、什么角色、怎么做的颗粒度。
这个库类似于DMN。
其次,将规则库“嵌入”业务流程中 。
规则的应用才是重点。如何实现与业务流程(即BPMN)的动态匹配?
- 一是精确匹配 。需要通过与业务系统建立业务分类、流程、环节等对应表,这里主要是针对禁止性和义务性条款,每条业务应该不会太多,如果行业原因比较多,做一次梳理也是比较值得的。
- 二是智能匹配 。智能匹配精准度取决于业务数字化程度,及语料数据的质量如何,可以通过反馈机制逐步修正。
另外,还可以通过支持用户主动检索的方式,补充获取合规知识的驱动,记录用户检索和浏览痕迹,进行学习不断优化推荐模型。
再次,赋能员工提供“导航”帮助。
有了第一步的规则库,第二步的嵌入式,及DMN+BPMN , 并加AI、RPA机器人自动提取业务要素的辅助支撑,就可以实现大部分重点领域、重点环节、重点岗位的“导航”赋能。
能够为企业员工提供禁止类、义务类、指导类、提示类的分级知识推动,并通过数字化平台,严格限制禁止类操作。
最后,对业务运行与规则匹配情况进行监控与分析 。
规则优化并且与企业运行进行了部分连接,我们需要通过系统发现哪些业务并没有按照规则开展,或者说可能不合规。
针对企业比较关注的重点领域、重点环节、重点岗位,分析后有问题的可以发送警示,就好像当前的北京健康弹窗一样(虽然很麻烦,根据本企业风险偏好自己设定)。
不通过核酸检查和社区报备,是无法继续处理后续程序的。
这是目前在几个企业客户希望实现或正在实现的一种利用数字化有效的合规管理方式,可以先做几个规则比较明确且风险大的点。
搭建好底层平台,初见效果后,再点到线、线到面、面到体形成企业合规管理的“智能体”。
本文由 @Being4 原创发布于人人都是产品经理。未经许可,禁止转载。
题图来自 Unsplash,基于CC0协议。